Petr Škuta Muitas vulnerabilidades foram reveladas na conferência de segurança Black Hat. Entre eles estão bugs no aplicativo WhatsApp que permitem que invasores alterem o conteúdo das mensagens.
Buracos no WhatsApp podem ser explorados de três maneiras possíveis. O mais interessante é quando você altera o conteúdo da mensagem que está enviando. Como resultado, o texto que você realmente não escreveu será exibido.
Poderia ser Interessa você
Existem duas opções:
- Um invasor pode usar o recurso “responder” em um bate-papo em grupo para confundir a identidade do remetente da mensagem. Mesmo que a pessoa em questão não esteja no chat em grupo.
- Além disso, ele pode substituir o texto citado por qualquer conteúdo. Assim, pode substituir completamente a mensagem original.
No primeiro caso, é fácil alterar o texto citado para parecer que você o escreveu. No segundo caso, você não altera a identidade do remetente, apenas edita o campo com a mensagem citada. O texto pode ser totalmente reescrito e a nova mensagem será vista por todos os participantes do chat.
O vídeo a seguir mostra tudo graficamente:
Os especialistas da Check Point também encontraram uma forma de misturar mensagens públicas e privadas. Porém, o Facebook conseguiu consertar isso na atualização do WhatsApp. Por outro lado, os ataques descritos acima não foram corrigidos por um provavelmente nem consigo consertar. Ao mesmo tempo, a vulnerabilidade é conhecida há anos.
O erro é difícil de corrigir por causa da criptografia
Todo o problema está na criptografia. O WhatsApp depende de criptografia entre os dois usuários. A vulnerabilidade então usa um chat em grupo, onde você já pode ver as mensagens descriptografadas na sua frente. Mas o Facebook não pode ver você, então basicamente não pode intervir.
Especialistas usaram a versão web do WhatsApp para simular o ataque. Isso permite emparelhar um computador (navegador da web) usando um código QR que você carrega em seu smartphone.
Uma vez vinculadas as chaves privada e pública, um código QR incluindo um parâmetro “secreto” é gerado e enviado do aplicativo móvel para o cliente web WhatsApp. Enquanto o usuário escaneia o código QR, um invasor pode aproveitar o momento e interceptar a comunicação.
Depois que um invasor obtém detalhes sobre uma pessoa, um bate-papo em grupo, incluindo um ID exclusivo, ele pode, por exemplo, alterar a identidade das mensagens enviadas ou alterar completamente seu conteúdo. Outros participantes do chat podem assim ser facilmente enganados.
Há muito pouco risco envolvido em conversas normais entre duas partes. Mas quanto maior a conversa, mais difícil é navegar pelas notícias e mais fácil é para uma notícia falsa parecer real. Então é bom ter cuidado.
Poderia ser Interessa você
David Hanak Zdroj: 9to5Mac
